«Касперский зертханасы» ақылды балалар ойыншығындағы осалдықтарды анықтады
Касперский Зертханасының зерттеушілері балалар интерактивті роботында шабуылдаушыларға ойыншықтағы камераны ата-анасының хабарынсыз баламен сөйлесу үшін пайдалануға мүмкіндік беретін осалдықтарды тапты. Компанияның сарапшылары өндірушіні хабардар етті және осы уақытқа дейін ол сипатталған қауіпсіздік мәселелерін шешті. Зерттеудің негізгі нәтижелерін «Касперский зертханасы» Mobile World Congress 2024-те ұсынды.
«Касперский зертханасының» мамандары «Толтырмасын» талдаған робот — бұл Android операциялық жүйесіне негізделген интерактивті құрылғы. Ол үлкен түсті экранмен, микрофонмен, бейнекамерамен жабдықталған және қозғала алады — шартты «дөңгелектердегі планшет». Роботтың функционалдығына балаларға арналған ойын және оқыту қосымшалары, дауыстық көмекші, интернетке қосылу мүмкіндігі және смартфондарындағы қосымшалар арқылы ата-аналармен байланыс кіреді.
Роботты қолдануды бастамас бұрын оны ересектердің аккаунтымен байланыстыру керек. Ол үшін пайдаланушы мобильді құрылғыға арнайы қосымшаны орнатуы керек. Алғаш қосылған кезде ойыншық Wi-Fi желісін таңдауды, роботты ата-анасының мобильді құрылғысына байлауды және баланың аты мен жасын енгізуді сұрайды.
Қандай осалдықтар табылды. Киберқауіпсіздік тұрғысынан бірінші маңызды кемшілік бала туралы ақпарат HTTP протоколы арқылы ашық түрде жіберілді. Осылайша, теориялық тұрғыдан шабуылдаушылар желілік трафикті талдау бағдарламалық жасақтамасын қолдана отырып, оны ұстап алады. Бұл жағдайда HTTP протоколы роботтың микробағдарламасын жаңартуға дейін қолданылды, жаңартудан кейін HTTPS қолданыла бастады.
Сондай-ақ, сарапшылар кейбір желілік сұрауларды қарап шықты және олардың біреуі келесі аутентификация деректері негізінде API кіру таңбалауышын қайтаратынын көрді: пайдаланушы аты, құпия сөз және кілт. Сонымен қатар, бұл сұрауда таңбалардың ерікті жиынтығынан әдейі қате пароль болған жағдайда да орын алды.
Келесі желі сұрауы тоғыз таңбадан тұратын бірегей идентификатор арқылы белгілі бір робот үшін конфигурация параметрлерін қайтарды. Бірақ, бұл таңбалар жиынтығы қысқа және болжамды болғандықтан, ықтимал шабуылдаушылар оны тез алып, нәтижесінде ойыншықтың иесі туралы ақпаратты, соның ішінде IP мекенжайын, тұрғылықты жерін, баланың атын, жынысын және жасын, сондай-ақ басқа сұрау арқылы электрондық пошта мекенжайы, ересек адамның телефон нөмірі және оның мобильді құрылғысын роботқа байланыстыру кодын ала алады.
Шабуылдаушылардың қоңыраулары. Бейнебайланыс сеансын орнату кезінде тиісті қауіпсіздік тексерулері болмады. Зиянкестер роботтың камерасы мен микрофонын ата-аналық аккаунттан рұқсатсыз балаларға қоңырау шалу үшін пайдалана алады. Бұл жағдайда, егер бала қоңырауды қабылдаса, қаскүнем онымен ересектердің білуінсіз сөйлесе бастауы мүмкін.
Қашықтан басқару. Алты таңбалы бір реттік парольді қалпына келтіру үшін қатыгездік әдісін (парольдерді толығымен асыра пайдалану) қолдана отырып және сәтсіз әрекеттер санына шектеусіз шабуылдаушы роботты ата-аналық есептік жазбаның орнына өз есептік жазбасына қашықтан байланыстыра алады. Бұл жағдайда заңды түрде қайта қосылу үшін өндірушінің техникалық қолдауына жүгіну керек еді.
Касперский зертханасы өндірушіге қауіпсіздік мәселелері туралы хабарлағаннан кейін, ол оларды жөндеді.
«Ақылды» құрылғыларды сатып алғанда, олардың ойын-сауық және білім беру опцияларына ғана емес, сонымен қатар қауіпсіздік деңгейіне де назар аудару керек. Сонымен қатар, сіз бағаға сенбеуіңіз керек — тіпті ең қымбат смарт құрылғыларда да зиянкестер пайдалана алатын осалдықтар болуы мүмкін. Біз ата — аналарға ақылды ойыншықтардың шолуларын мұқият қарап шығуды, бағдарламалық жасақтаманың жаңартулары туралы жаңалықтарды қадағалап отыруды және мүмкіндігінше баланы осындай гаджетпен өзара әрекеттесу кезінде қарауды ұсынамыз», — деп кеңес береді Kaspersky ICS CERT аға зерттеушісі Николай Фролов.
Зерттеу қалай жүргізілгені және оның нәтижелері туралы көбірек білуге болады: securelist.ru/smart-robot-security-research/109035/.
«Касперский зертханасы» пайдаланушыларға ақылды құрылғыларды, соның ішінде ақылды ойыншықтарды ұсынады:
- барлық қосылған құрылғылардың микробағдарламасы мен бағдарламалық жасақтамасын үнемі жаңартып отырыңыз, өйткені жаңартулар көбінесе белгілі осалдықтарды жоятын маңызды қауіпсіздік патчтарын қамтиды;
- сатып алудан бұрын құрылғы мен әзірлеуші туралы ақпаратты зерттеңіз: нарықтың сенімді ойыншыларына сену жақсы;
- ақылды құрылғыны басқару үшін мобильді қосымшаларға берілген рұқсаттарды қарау және шектеу;
- сенімді қорғаныс шешімі арқылы ақылды гаджеттерді басқару жүзеге асырылатын мобильді құрылғылардың қауіпсіздігін қамтамасыз ету.